設定 Studio 和資料來源之間的網路存取 (適用於管理員) - Amazon SageMaker AI
Studio 和資料存放區位於不同的 VPCsStudio 和資料存放區位於相同的 VPCStudio 和資料存放區透過公有網際網路進行通訊

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

設定 Studio 和資料來源之間的網路存取 (適用於管理員)

本節提供管理員如何設定網路以啟用 Amazon SageMaker Studio 與 Amazon RedshiftAmazon Athena 之間的通訊的資訊,無論是在私有 Amazon VPC 內或透過網際網路。網路指示會根據 Studio 網域和資料存放區是否部署在私有 Amazon Virtual Private Cloud (VPC) 內或透過網際網路通訊而有所不同。

根據預設,Studio 會在具有網際網路存取的 AWS 受管 VPC 中執行。使用網際網路連線時,Studio 會透過網際網路存取 AWS 資源,例如 Amazon S3 儲存貯體。不過,如果您有安全需求來控制對資料和任務容器的存取,建議您設定 Studio 和資料存放區 (Amazon Redshift 或 Athena),以便您的資料和容器無法透過網際網路存取。若要控制對資源的存取,或在無公有網際網路存取的情況下執行 Studio,您可以在加入 Amazon SageMaker AI 網域時指定VPC only網路存取類型。在此案例中,Studio 會透過私有 VPC 端點與其他 AWS 服務建立連線。如需在VPC only模式下設定 Studio 的詳細資訊,請參閱將 Studio 連線至 VPC 中的外部資源

注意

若要連線至 Snowflake,Studio 網域的 VPC 必須具有網際網路存取權。

前兩個章節說明如何確保 Studio 網域與 VPCs 中的資料存放區之間的通訊,無需公有網際網路存取。最後一節說明如何確保 Studio 與資料存放區之間使用網際網路連線進行通訊。在沒有網際網路存取的情況下連接 Studio 和資料存放區之前,請務必為 Amazon Simple Storage Service、Amazon Redshift 或 Athena、SageMaker AI 和 Amazon CloudWatch 和 AWS CloudTrail (記錄和監控) 建立端點。

Studio 和資料存放區部署在不同的 VPCs中

若要允許 Studio 與部署在不同 VPCs中的資料存放區之間的通訊:

  1. 首先,透過 VPC 對等連線連線您的 VPC。

  2. 更新每個 VPC 中的路由表,以允許 Studio 子網路和資料存放區子網路之間的雙向網路流量。

  3. 設定您的安全群組以允許傳入和傳出流量。

無論 Studio 和資料存放區部署在單一 AWS 帳戶或跨不同 AWS 帳戶,組態步驟都相同。

  1. VPC 對等互連

    建立 VPC 對等互連,以促進兩個 VPCs(Studio 和資料存放區) 之間的聯網。

    1. 從 Studio 帳戶 VPC 儀表板上,選擇對等連線,然後選擇建立對等連線

    2. 建立您的請求,將 Studio VPC 與資料存放區 VPC 對等。在另一個 AWS 帳戶中請求對等互連時,請在選取要對等的另一個 VPC 中選擇另一個帳戶

      對於跨帳戶對等互連,管理員必須接受來自 SQL 引擎帳戶的請求。

      當對等私有子網路時,您應該在 VPC 對等連線層級啟用私有 IP DNS 解析。

  2. 路由表

    設定路由以允許 Studio 和資料存放區 VPC 子網路之間的雙向網路流量。

    建立對等連線後,管理員 (在每個帳戶上進行跨帳戶存取) 可以將路由新增至私有子網路路由表,以在 Studio 和資料存放區 VPCs的子網路之間路由流量。您可以透過前往 VPC 儀表板每個 VPC 的路由表區段來定義這些路由。

  3. 安全群組

    最後,Studio 網域 VPC 的安全群組必須允許傳出流量,而資料存放區 VPC 的安全群組必須允許來自 Studio VPC 安全群組的資料存放區連接埠上的傳入流量。

Studio 和資料存放區部署在相同的 VPC 中

如果 Studio 和資料存放區位於相同 VPC 的不同私有子網路中,請在每個私有子網路的路由表中新增路由。路由應允許流量在 Studio 子網路和資料存放區子網路之間流動。您可以透過前往 VPC 儀表板每個 VPC 的路由表區段來定義這些路由。如果您在相同的 VPC 和相同的子網路中部署 Studio 和資料存放區,則不需要路由流量。

無論路由表更新為何,Studio 網域 VPC 的安全群組都必須允許傳出流量,而資料存放區 VPC 的安全群組必須允許來自 Studio VPC 安全群組之連接埠上的傳入流量。

Studio 和資料存放區透過公有網際網路進行通訊

根據預設,Studio 提供網路介面,允許透過與 Studio 網域相關聯的 VPC 中的網際網路閘道與網際網路通訊。如果您選擇透過公有網際網路連線至資料存放區,則資料存放區需要接受其連接埠上的傳入流量。

存取網際網路時,必須使用 NAT 閘道來允許多個 VPCs 私有子網路中的執行個體共用網際網路閘道提供的單一公有 IP 地址。

注意

為傳入流量開啟的每個連接埠都代表潛在的安全風險。請詳閱自訂安全群組,以確保您將漏洞數量降至最低。